check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보

2017년 06월 13일(화)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

- 이번 공격에 사용된 에레버스 랜섬웨어 파일 분석 내용

웹호스팅 업체 ‘인터넷나야나’ 서버를 공격해 큰 피해를 발생시킨 ‘에레버스 랜섬웨어’에 대한 안랩 ASEC의 분석 내용이 블로그에 공개됐다. 다음은 악성코드 분석가 및 보안전문가로 구성된 글로벌 대응조직인 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center)이 블로그에 공개한 분석내용 전문이다. (편집자 주)

2017년 6월 10일 국내 모 유명 웹 호스팅 업체의 리눅스 웹 서버 및 백업 서버 153대가 랜섬웨어 에레버스(Erebus)에 감염되어 서버 내 주요 파일이 암호화되었다고 알려졌다. 이로 인해 현재까지 해당 업체에서 호스팅하는 일부 사이트의 정상적인 접속이 불가능하다.

이번 공격에 현재까지 총 2개의 에레버스(Erebus) 랜섬웨어 파일이 확인되었으며, 각각 32비트 그리고 64비트 환경에서 동작하는 리눅스용 ELF 파일이다. 악성 파일 내부에 EREBUS 문자열과 암호화 관련 문자열을 다수 포함하고 있다. 악성코드 감염 직후에는 다음과 같은 증상이 확인된다.

▲ 출처 안랩 ASEC 블로그. 이하 동일
▲ 출처 안랩 ASEC 블로그. 이하 이미지 동일
-암호화 대상 파일명 변경: "[영문과숫자조합].ecrypt"

-랜섬노트 파일 생성: "_DECRYPT_FILE.txt" "_DECRYPT_FILE.html"

e-3.jpg
암호화 대상 파일은 리눅스 운영체제 내에 존재하는 주요 확장자 파일로 .tar, .gz 등의 압축 파일, .jpg, .docx, .xlsx 등 문서 및 그림 파일이 포함된다. 다음은 암호화 대상이 되는 전체 확장자 모음이다.

e-4.jpg
단, 다음 경로 내에 존재하는 파일은 암호화되지 않는다.

e-5.jpg
파일 실행 직후 주요 데이터 파일이 암호화되고 랜섬 노트 파일이 생성된다. 암호화된 파일명은 [영문과숫자조합].ecrypt 으로 변경된다. 동일한 키로 암호화된 파일은 암호화된 원본 파일 데이터 앞에 동일한 암호화 키 정보, 사용자 고유 번호 등을 포함한 바이너리가 있다.

e-6.jpg
에레버스 랜섬웨어는 실행 직후 네트워크 접속 여부와 상관없이 모두 암호화 행위를 수행한다. 파일 내에 존재하는 악성 C&C 주소는 .onion 도메인인 Tor 네트워크를 이용하고 있으며 확인된 주소는 다음과 같다.

-C&C : 216.126.224.128

-Tor 네트워크:

7fv4vg4n26cxleel.onion.to
7fv4vg4n26cxleel.onion.nu
7fv4vg4n26cxleel.hiddenservice.net
7fv4vg4n26cxleel.gbe0.top
qzjordhlw5mqhcn7.onion.to
qzjordhlw5mqhcn7.onion.nu
qzjordhlw5mqhcn7.hiddenservice.net
qzjordhlw5mqhcn7.gbe0.top
7fv4vg4n26cxleel.onion
qzjordhlw5mqhcn7.onion

e-7.jpg
현재 안랩 V3 제품군에서 다음과 같이 진단한다.

-Linux/Erebus (2017.06.11.01)

[글. 안랩 ASEC]

★정보보안 대표 미디어 데일리시큐!★


길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기

1개의 의견이 있습니다.
profile photo
gytni 2017-06-14 16:52:19    
안녕하세요, 글 잘 보았습니다. 

한 번 방문해주세요~ ^^

랜섬웨어, 악성코드 특징 대응 방안 제공

http://gytni.com/new_gytni/processdb.php?mode=malware
1.***.***.211
삭제